基于个人信息保护法的合规控制验证框架

©2022云安全联盟大中华区版权所有1 ©2022云安全联盟大中华区版权所有2@2022云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2022云安全联盟大中华区版权所有3致谢云安全联盟大中华区（简称：CSAGCR）隐私与个人信息保护法律工作组在2021年4月成立。由原浩、方婷担任工作组联席组长，工作组专家来自竹辉律师事务所、西北大学、恩智浦、中伦文德事务所、美柚、中国工商银行、绿盟科技、美云智数、上海CA、上海网综所、埃森哲、亚萨合莱、360政企安全、软通动力信息、艾贝链动等十多个单位。本框架由CSA大中华区隐私与个人信息保护法律工作组专家撰写，感谢以下专家的贡献：联席组长：原浩、方婷贡献者名单原创作者：高健凯、胡恺健、赵晔、张元恺、曾令平、江澎、马宁、邢海韬、黄鹏华、夏巍、魏晓刚审核专家：郭鹏程、姚凯研究协调员：高健凯贡献单位：绿盟科技集团股份有限公司、广东美云智数科技有限公司、北森云计算有限公司（以上排名不分先后）关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn；云安全联盟CSA公众号： ©2022云安全联盟大中华区版权所有4目录致谢............................................................................................................................................31.框架的结构及考虑.................................................................................................................51.1原则和通用..................................................................................................................51.2知情同意和处理规则..................................................................................................61.3对自动化决策的特别关注..........................................................................................61.4敏感个人信息的特别关注..........................................................................................61.5数据出境的统一考虑..................................................................................................61.6个人权利和对个人权利的回应..................................................................................71.7在企业架构和制度中的体现......................................................................................71.8记录和证据..................................................................................................................71.9第三方和供应链..........................................................................................................72.框架的方法论.........................................................................................................................82.1高度概括合规要求（D列）.......................................................................................82.2将合规要求做解读后对应到企业规范文件或产品呈现（F/G列）.......................82.3从最普遍的标准切入企业控制措施（H/I列）.......................................................82.4对措施的增强介绍或解释（J列）...........................................................................92.5对触发合规的最低时限或阶段要求..........................................................................93.框架的维护更新与其他声明.................................................................................................94.附件（框架）.........................................................................................................................9 ©2022云安全联盟大中华区版权所有5基于《个人信息保护法》的企业个人信息保护合规风险控制验证框架1.0说明文档1.框架的结构及考虑控制框架从10个维度搭建，大部分的维度之间为独立关系，但部分维度具有包括关系。这主要是考虑到《个人信息保护法》的架构，以及对于原则、规则等本身既有概括性的必然。目前围绕个人信息或隐私管理国内外有不同的框架工具，本框架可以作为：（1）基于最为通用的ISO2700x细化的映射，实现对个人信息保护与管理的全面覆盖；（2）对于已经使用欧盟GDPR或者网信、工信部门的既有规范进行合规工作的符合性，提供额外的验证过程。1.1原则和通用目前个人信息保护的主要原则可以概括是为：合法正当必要性原则、合理直接目的性原则、最小影响和最小范围原则。将这些确定为原则，主要原因是对必要性、合理性、最小化这些概念难以和缺少准确的衡量指标，且新技术、新应用又不断的冲击既有的量化标准。由于这些原则具有在产品、服务设计中的普遍适用性，且在进行是否合规的“终极”判定时，或者在无其他明确法律依据支持佐证时，需要直接援引这些原则判断。因此，就其中最为基础的必要性原则，也称之为个人信息保护合规判定的“帝王原则”。 ©2022云安全联盟大中华区版权所有6值得注意的是，这些原则判断的最终权，在监管机构（执法）和司法机关。合规工作虽然可以减轻或降低风险后果，但不能完全免责1。1.2知情同意和处理规则将知情同意作为处理规则的起点，而不再作为合规的原则，主要是考虑到知情同意的各种实现是非常实务的运用，不像上述原则一样“抽象”，目前的合规起步主要的都是通过个人信息处理规则“呈现”完成，同时《个人信息保护法》对构筑知情同意列举了大量条款，需要相应的进行合规设计。值得注意的是，知情同意构成了个人信息处理规则（无论是隐私政策、服务协议等等）贯穿始终的基准。1.3对自动化决策的特别关注自动化决策是《个人信息保护法》中为数不多的涉及算法2、人工智能等相关的条款，其代表了未来监管所可能关注的增设、重要方面，因此本框架给与特别关注。1.4敏感个人信息的特别关注一般个人信息和敏感个人信息是对个人信息的基本分类，也符合《数据安全法》对数据分类分级的一般要求。将个人信息做敏感和一般的分类（《个人信息保护法》做具体列举，是从分类而非分级的考虑），同时形成了个人信息分级的初始目的。敏感个人信息需要附加额外的控制措施，因此应特别关注。1.5数据出境的统一考虑数据出境安全评估办法明确了对个人信息和重要数据适用统一的出境评估规则，对数据出境的合规尽管不是所有运营者、处理者都需要面对的问题，其1最高人民检察院在2021年发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，对涉案企业合规不起诉模式正在进行持续探索。2《互联网信息服务算法推荐管理规定》已经通过实施，其对行业可能产生的影响尚有待进一步观察。 ©2022云安全联盟大中华区版权所有7规则的要求也具有不同于个人信息的一般处理的要求，但由于出境选择的多样性和触发条件的不同，数据出境自身形成了相对独立的合规评价体系3。1.6个人权利和对个人权利的回应虽然《个人信息保护法》将个人的权利作为专章规定，但从企业合规的角度对应的是对这些权利的响应。虽然企业从业务流程和个人信息生命周期已经涉及对个人权利的响应，但将其单独作为一个维度，有助于体系化的验证对个人信息响应和保护的程度。1.7在企业架构和制度中的体现从组织架构和风险控制制度出发规范个人信息保护与合规，符合传统风险控制和管理的思路，也是本框架与既有的标准建立关联和匹配的基础，最终也是合规的形式化成果和验证依据。1.8记录和证据本框架也突出了记录和证据的重要性。一方面是从《网络安全法》以来对记录、日志等已经提出了越来越多的要求，另一方面，从法律的角度考虑这些记录和证据，体现出本框架作为法律合规框架，而非其他框架的独有特点。毕竟，所有的日志、记录等等只有符合法律规定的形式和内容要求，才能成为企业合规和免责的依据4。1.9第三方和供应链对第三方合作伙伴和从供应链角度考虑个人信息保护，为企业提供了外部性的多重视角，尽管供应链安全的最重要问题并非个人信息保护，但个人信息保护的重要方面涉及对与外部的合同、协议评价和在信息传递、转移中的大量处理行为的合规评价。特别是在数字经济的宏观背景和平台模式直接面对最终3公开信息显示，《数据出境安全评估办法（征求意见稿）》尝试进行统一的数据出境安排，但未来仍有可能就个人信息与重要数据出境分别设置不同的规则，因此征求意见稿的施行仍有不确定性。4对电子数据证据，应充分结合《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》《关于民事诉讼证据的若干规定》。任何合规框架不应代替对电子证据的过程化考虑，且企业应注意，对行政和刑事案件中，证据的收集、提取、固定、审查应主要属于侦察、检察机关的活动。 ©2022云安全联盟大中华区版权所有8用户的微观场景下，传统信息安全标准的企业“内控”已经不能完全满足企业业务活动的需要，这就是为何供应链安全、BYOD、零信任等概念愈发受到重视的部分非技术原因。2.框架的方法论框架主要从法律规定出发，而非从单一的权利主体个人视角或者从监管角度、技术角度，尝试建立一个可自洽并周延的体系。为此主要使用了以下方法和逻辑：2.1高度概